Come creare un account Amazon Web Services per un utente con autorizzazioni minime
Articoli tecnici ID:
KB82936
Ultima modifica: 13/10/2021
Ambiente
Cloud Workload Security McAfee (CWS) 5.x per Amazon Web Services (AWS)
Riepilogo
Affinché CWS comunichi con il AWS cloud, è necessario registrare un account AWS con ePolicy Orchestrator. AWS gli utenti devono disporre almeno di autorizzazioni di sola lettura configurate per il servizio Web Amazon Elastic Cloud comput (EC2).
Nota CWS offre tre livelli di autorizzazione quando si registra un account AWS. È possibile configurare l'account AWS in base alle proprie esigenze. Per creare un account utente AWS per un utente con autorizzazioni minime, attenersi alla procedura descritta in questo articolo.
Soluzione
Per creare un account utente AWS:
- Creare un utente:
- Accedere alla console di gestione di AWS.
- Carica il Gestione dell'identità e dell'accesso (IAM) dashboard.
- Sotto il Utenti sezione, fare clic su Crea utente.
- Digitare un nome utente.
- Selezionare l'opzione Genera una chiave di accesso per ogni utente, quindi fare clic su Creare.
- Fare clic su Scarica credenziali, quindi salvare il file. csv file. Queste credenziali contengono sia la chiave di accesso che la chiave segreta.
- Chiudere la finestra.
- Creare una policy:
- Nel riquadro di navigazione, fare clic su Policy, Crea nuova policy.
- Sotto il Crea policy sezione, fare clic su Crea la tua policy.
- Digitare un nome e una descrizione.
- Copiare e incollare una o più delle seguenti policy, in base alle proprie esigenze:
EC2-ReadOnly policy (rilevamento/visibilità) -
Questo set di regole consente solo un'autorizzazione limitata per l'utente di scoprire le risorse di EC2 e leggere firewall regole.
{
"Versione": "2012-10-17",
"Dichiarazione": [
{
"Effetto": "Consenti",
"Azione": "EC2: Descrivi *",
"Risorsa": "*"
}
]
}
policy di remediation -Questo set di regole consente a un utente di rimediare ai gruppi di sicurezza.
{
"Versione": "2012-10-17",
"Dichiarazione": [
{
"SID": "",
"Effetto": "Consenti",
"Azione": [
"EC2: AuthorizeSecurityGroupEgress",
"EC2: AuthorizeSecurityGroupIngress",
"EC2: CreateSecurityGroup",
"EC2: DeleteSecurityGroup",
"EC2: ModifyInstanceAttribute",
"EC2: ModifyNetworkInterfaceAttribute",
"EC2: RevokeSecurityGroupEgress",
"EC2: RevokeSecurityGroupIngress",
"EC2: CreateTags"
],
"Risorsa": [
"*"
]
}
]
}
Rilevamento del traffico di rete policy -Questo insieme di regole consente a un utente di attivare i registri del flusso di traffico di rete ai livelli di VPC. Con questo policy, CWS è in grado di rilevare i registri del traffico di rete.
{
"Versione": "2012-10-17",
"Dichiarazione": [
{
"SID": "",
"Effetto": "Consenti",
"Azione": [
"registri: CreateLogGroup",
"registri: DeleteLogGroup",
"registri: DescribeLogGroups",
"registri: DescribeLogStreams",
"registri: FilterLogEvents",
"registri: GetLogEvents",
"registri: CreateLogStream",
"registri: PutLogEvents",
"IAM: GetUser",
"EC2: CreateFlowLogs",
"EC2: DeleteFlowLogs"
],
"Risorsa": [
"*"
]
}
]
}
Amazon GuardDuty policy -Questo policy consente a CWS di scoprire Amazon eventi GuardDuty (CWS 5.0.1 e versioni successive).
{
"Version": "2012-10-17",
"Statement": [
"Sid": "DiscoverGuardGuty",
"Effect": "Allow",
"Action": [
"guardduty:GetThreatIntelSet",
"guardduty:GetIPSet",
"guardduty:ListIPSets",
"guardduty:GetFindings",
"guardduty:ListThreatIntelSets",
"guardduty:GetThreatIntelSet",
"guardduty:GetMasterAccount",
"guardduty:GetIPSet",
"guardduty:ListFindings",
"guardduty:GetMembers",
"guardduty:GetFindingsStatistics",
"guardduty:GetDetector",
"guardduty:ListMembers",
"guardduty:ListDetectors",
"guardduty:GetInvitationsCount",
"guardduty:ListInvitations"
Carico di lavoro arrestato policy -Questo insieme di regole consente di arrestare il carico di lavoro selezionato come misura remediation (CWS 5.0.1 e versioni successive).
{
"Version": "2012-10-17",
"Statement": [
{ "Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "ec2:StopInstances",
"Resource": "*"
}
- Crea un IAM ruolo con i registri di flusso per l'account di AWS:
Nota Per accedere ai registri di flusso nelle reti virtuali, è necessario creare un ruolo IAM con le policy del registro di flusso. È quindi possibile visualizzare i registri del flusso di traffico delle reti virtuali in CWS.
- Accedere alla console di gestione di AWS.
- Per caricare il dashboard IAM, selezionare IAM.
- Digitare il nome McafeeFlowLogger per il ruolo, quindi fare clic su Avanti.
Nota Il nome del ruolo deve essere McafeeFlowLoggered è una distinzione tra maiuscole e minuscole.
- Nella pagina Seleziona tipo di ruolo accanto a Amazon EC2, fare clic su Selezionare.
- Nella pagina allega Policy, fare clic su Passaggio successivo.
- Nella pagina Revisione, prendere nota del ARN per il ruolo, quindi fare clic su Crea ruolo.
- Digitare un nome per il ruolo.
- In autorizzazioni, espandere la sezione Policy inline, quindi fare clic su Fare clic qui.
- Selezionare policy personalizzata, quindi fare clic su Selezionare.
- Copiare questo policy e incollarlo nella finestra del documento delle policy. Digitare un nome per il policy nel campo nome Policy, quindi fare clic su Applica policy.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
- Questo policy attiva il registro del flusso VPC a livello di VPC, per l'account AWS:
- Selezionare l'opzione Modifica relazione di affidabilità.
- Eliminare eventuali documenti policy esistenti.
- Copiare e incollare questo policy, quindi fare clic su Aggiorna Policy di affidabilità.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "vpc-flow-logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
- Assegnare la policy a un utente:
Il Chiave di accesso segreta viene generato quando si crea il Chiave di accesso. Utilizzare il tasto di accesso e la chiave di accesso segreto durante la registrazione dell'account cloud utilizzando CWS in ePO.
- Sotto il Utenti , selezionare l'utente, quindi fare clic su Allega Policy.
- Nella pagina Riepilogo, fare clic su Aggiungi autorizzazioni e selezionare Allega direttamente le policy esistenti.
- Selezionare il policy creato, quindi allegare il policy.
- Tornare alla pagina Riepilogo e fare clic sul pulsante Credenziali di sicurezza scheda.
- Fare clic su Crea accesso chiave.
Nota Per ulteriori informazioni sulle policy AWS, sulle autorizzazioni, sui ruoli e sull'accesso a account incrociati, consultare la sezione relativa Guida all'installazione di Cloud Workload Security.
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
|
